юридические документы
СВЕДЕНИЯ О РЕАЛИЗУЕМЫХ ТРЕБОВАНИЯХ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
1.1. Оператор персональных данных (далее — Оператор): Индивидуальный предприниматель Николаев Владимир Геннадьевич (ОГРНИП 321385000078806, ИНН 380123588529).
1.2. Настоящие Сведения о реализуемых требованиях к защите персональных данных (далее — Сведения) определяют общую информацию о требованиях и мерах, реализуемых Оператором при обработке персональных данных, в целях соблюдения законодательства Российской Федерации в области персональных данных, в том числе Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» (далее — Федеральный закон № 152-ФЗ), и обеспечения защиты персональных данных от неправомерного или случайного доступа и иных неправомерных действий.
1.3. Настоящие Сведения подготовлены и размещаются Оператором во исполнение обязанности по обеспечению неограниченного доступа к сведениям о реализуемых требованиях к защите персональных данных при их сборе с использованием информационно-телекоммуникационных сетей, включая сеть Интернет, установленной ч. 2 ст. 18.1 Федерального закона № 152-ФЗ.
1.4. Настоящие Сведения применяются совместно с документом, определяющим политику Оператора в отношении обработки персональных данных (Политикой обработки персональных данных, далее — Политика), размещенным на официальном сайте Оператора (далее — Сайт).
1.5. Настоящие Сведения являются общедоступными. Сведения не содержат информации, раскрытие которой может привести к снижению уровня защищенности персональных данных (в том числе детальных описаний конфигураций, используемых средств защиты, настроек и параметров информационных систем), при сохранении достаточности раскрытия информации для целей прозрачности.
1.2. Настоящие Сведения о реализуемых требованиях к защите персональных данных (далее — Сведения) определяют общую информацию о требованиях и мерах, реализуемых Оператором при обработке персональных данных, в целях соблюдения законодательства Российской Федерации в области персональных данных, в том числе Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» (далее — Федеральный закон № 152-ФЗ), и обеспечения защиты персональных данных от неправомерного или случайного доступа и иных неправомерных действий.
1.3. Настоящие Сведения подготовлены и размещаются Оператором во исполнение обязанности по обеспечению неограниченного доступа к сведениям о реализуемых требованиях к защите персональных данных при их сборе с использованием информационно-телекоммуникационных сетей, включая сеть Интернет, установленной ч. 2 ст. 18.1 Федерального закона № 152-ФЗ.
1.4. Настоящие Сведения применяются совместно с документом, определяющим политику Оператора в отношении обработки персональных данных (Политикой обработки персональных данных, далее — Политика), размещенным на официальном сайте Оператора (далее — Сайт).
1.5. Настоящие Сведения являются общедоступными. Сведения не содержат информации, раскрытие которой может привести к снижению уровня защищенности персональных данных (в том числе детальных описаний конфигураций, используемых средств защиты, настроек и параметров информационных систем), при сохранении достаточности раскрытия информации для целей прозрачности.
2.1. Оператор может использовать коммерческое обозначение и (или) иные средства индивидуализации юридической практики «Норт и Харрис». При этом Оператором персональных данных в понимании Федерального закона № 152‑ФЗ является лицо, указанное в п. 1.1. настоящих Сведений.
2.2. Обработка персональных данных осуществляется Оператором в связи с оказанием юридических услуг, включая обработку обращений, поступающих Сайт, а также в связи с обеспечением функционирования Сайта и использованием сервисов веб‑аналитики в объеме, необходимом для анализа функционирования Сайта.
2.3. Обработка персональных данных осуществляется с использованием средств автоматизации (в том числе посредством Сайта и подключенных сервисов) и, при необходимости, без использования средств автоматизации (при работе с документами на бумажных носителях), в объеме и порядке, допустимых законодательством Российской Федерации.
2.2. Обработка персональных данных осуществляется Оператором в связи с оказанием юридических услуг, включая обработку обращений, поступающих Сайт, а также в связи с обеспечением функционирования Сайта и использованием сервисов веб‑аналитики в объеме, необходимом для анализа функционирования Сайта.
2.3. Обработка персональных данных осуществляется с использованием средств автоматизации (в том числе посредством Сайта и подключенных сервисов) и, при необходимости, без использования средств автоматизации (при работе с документами на бумажных носителях), в объеме и порядке, допустимых законодательством Российской Федерации.
3.1. Оператор обеспечивает защиту персональных данных путем реализации необходимых и достаточных правовых, организационных и технических мер, направленных на предотвращение неправомерного или случайного доступа к персональным данным, их уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также иных неправомерных действий.
3.2. Оператор обеспечивает конфиденциальность персональных данных и устанавливает режим доступа к персональным данным по принципам необходимости и достаточности (минимально необходимого доступа) с учетом целей обработки.
3.3. Оператор обеспечивает соблюдение требований к защите персональных данных при обработке в информационных системах персональных данных путем:
3.3.1. Определения (актуализации) модели угроз безопасности персональных данных и уровня защищенности персональных данных в информационной системе персональных данных в случаях, когда такие действия требуются применимыми нормативными правовыми актами.
3.3.2. Выбора и реализации состава мер защиты персональных данных с учетом актуальных угроз и уровня защищенности.
3.3.3. Регулярной актуализации мер защиты при изменении процессов обработки, состава данных, состава используемых информационных систем и (или) выявлении новых угроз.
3.2. Оператор обеспечивает конфиденциальность персональных данных и устанавливает режим доступа к персональным данным по принципам необходимости и достаточности (минимально необходимого доступа) с учетом целей обработки.
3.3. Оператор обеспечивает соблюдение требований к защите персональных данных при обработке в информационных системах персональных данных путем:
3.3.1. Определения (актуализации) модели угроз безопасности персональных данных и уровня защищенности персональных данных в информационной системе персональных данных в случаях, когда такие действия требуются применимыми нормативными правовыми актами.
3.3.2. Выбора и реализации состава мер защиты персональных данных с учетом актуальных угроз и уровня защищенности.
3.3.3. Регулярной актуализации мер защиты при изменении процессов обработки, состава данных, состава используемых информационных систем и (или) выявлении новых угроз.
4.1. В числе реализуемых организационных мер защиты персональных данных Оператор обеспечивает:
4.1.1. Определение круга лиц, допущенных к обработке персональных данных: доступ к персональным данным предоставляется только тем лицам, которым такой доступ необходим для исполнения обязанностей и достижения заявленных целей обработки.
4.1.2. Издание и актуализация внутренней документации: Оператор разрабатывает, утверждает и актуализирует внутренние документы, определяющие политику в отношении обработки и защиты персональных данных, а также устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации в области персональных данных и устранение их последствий.
4.1.3. Ознакомление лиц, осуществляющих обработку персональных данных: Оператор обеспечивает ознакомление лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, применимыми требованиями к защите персональных данных, а также с документами Оператора, регулирующими вопросы обработки и защиты персональных данных.
4.1.4. Установление правил доступа и разграничение прав: Оператор устанавливает порядок предоставления, изменения и прекращения прав доступа к персональным данным и к средствам их обработки; обеспечивает периодический пересмотр прав доступа.
4.1.5. Обязательства о конфиденциальности: лица, получившие доступ к персональным данным, обязуются соблюдать конфиденциальность персональных данных и требования внутренней документации Оператора.
4.1.6. Внутренний контроль и (или) аудит: Оператор осуществляет внутренний контроль соответствия обработки персональных данных требованиям законодательства Российской Федерации и документам Оператора, включая контроль соблюдения режимов доступа, сроков хранения и порядка уничтожения персональных данных.
4.1.7. Оценку вреда: Оператор обеспечивает оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства о персональных данных, а также соотнесение возможного вреда и принимаемых мер защиты (в объеме, установленном применимыми требованиями).
4.1.8. Управление инцидентами: Оператор устанавливает порядок выявления, фиксации, расследования и локализации последствий инцидентов, связанных с неправомерной или случайной передачей (предоставлением, распространением, доступом) персональных данных, а также порядок принятия мер по предотвращению повторных инцидентов.
4.1.9. Управление сроками хранения и уничтожением: Оператор обеспечивает выполнение процедур уничтожения и (или) обезличивания персональных данных по достижении целей обработки либо при наступлении иных законных оснований, а также блокирование персональных данных в случаях, предусмотренных законодательством, на период проверки.
4.1.10. Управление подрядчиками и уполномоченными лицами: при привлечении третьих лиц для обработки персональных данных по поручению Оператор обеспечивает закрепление в договорной документации условий обработки и требований к безопасности персональных данных, включая обязанность соблюдения конфиденциальности и принятия мер защиты персональных данных.
4.1.1. Определение круга лиц, допущенных к обработке персональных данных: доступ к персональным данным предоставляется только тем лицам, которым такой доступ необходим для исполнения обязанностей и достижения заявленных целей обработки.
4.1.2. Издание и актуализация внутренней документации: Оператор разрабатывает, утверждает и актуализирует внутренние документы, определяющие политику в отношении обработки и защиты персональных данных, а также устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации в области персональных данных и устранение их последствий.
4.1.3. Ознакомление лиц, осуществляющих обработку персональных данных: Оператор обеспечивает ознакомление лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, применимыми требованиями к защите персональных данных, а также с документами Оператора, регулирующими вопросы обработки и защиты персональных данных.
4.1.4. Установление правил доступа и разграничение прав: Оператор устанавливает порядок предоставления, изменения и прекращения прав доступа к персональным данным и к средствам их обработки; обеспечивает периодический пересмотр прав доступа.
4.1.5. Обязательства о конфиденциальности: лица, получившие доступ к персональным данным, обязуются соблюдать конфиденциальность персональных данных и требования внутренней документации Оператора.
4.1.6. Внутренний контроль и (или) аудит: Оператор осуществляет внутренний контроль соответствия обработки персональных данных требованиям законодательства Российской Федерации и документам Оператора, включая контроль соблюдения режимов доступа, сроков хранения и порядка уничтожения персональных данных.
4.1.7. Оценку вреда: Оператор обеспечивает оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства о персональных данных, а также соотнесение возможного вреда и принимаемых мер защиты (в объеме, установленном применимыми требованиями).
4.1.8. Управление инцидентами: Оператор устанавливает порядок выявления, фиксации, расследования и локализации последствий инцидентов, связанных с неправомерной или случайной передачей (предоставлением, распространением, доступом) персональных данных, а также порядок принятия мер по предотвращению повторных инцидентов.
4.1.9. Управление сроками хранения и уничтожением: Оператор обеспечивает выполнение процедур уничтожения и (или) обезличивания персональных данных по достижении целей обработки либо при наступлении иных законных оснований, а также блокирование персональных данных в случаях, предусмотренных законодательством, на период проверки.
4.1.10. Управление подрядчиками и уполномоченными лицами: при привлечении третьих лиц для обработки персональных данных по поручению Оператор обеспечивает закрепление в договорной документации условий обработки и требований к безопасности персональных данных, включая обязанность соблюдения конфиденциальности и принятия мер защиты персональных данных.
5.1. В целях обеспечения безопасности персональных данных Оператор обеспечивает реализацию технических мер защиты (в объеме, необходимом и достаточном с учетом актуальных угроз, применяемых технологий и уровня защищенности), включая:
5.1.1. Идентификацию и аутентификацию пользователей (субъектов доступа) и (при необходимости) технических средств, используемых для доступа к персональным данным.
5.1.2. Управление доступом к информационным ресурсам и (или) учетным записям, с использованием которых осуществляется обработка персональных данных.
5.1.3. Регистрацию событий безопасности и учет действий: фиксацию действий (операций), совершаемых с персональными данными в информационных системах, и (при наличии технической возможности) фиксацию событий, относящихся к безопасности персональных данных.
5.1.4. Защиту при передаче и хранении: применение мер по защите персональных данных при передаче по сетям связи и при хранении (включая использование средств защиты информации при необходимости и в случаях, предусмотренных применимыми требованиями).
5.1.5. Обеспечение целостности и доступности: реализацию мер, направленных на предотвращение несанкционированного изменения (искажения) персональных данных и обеспечение возможности их восстановления; организацию резервного копирования в объеме, необходимом для обеспечения восстановления и информационной безопасности.
5.1.6. Выявление несанкционированного доступа: применение мер, направленных на обнаружение фактов несанкционированного доступа (и (или) признаков таких фактов) и реагирование на них.
5.2. Оператор определяет уровень защищенности персональных данных, обрабатываемых в информационных системах персональных данных, в соответствии с требованиями Постановления Правительства Российской Федерации от 01.11.2012 № 1119, и на основании определенного уровня защищенности устанавливает состав необходимых технических мер защиты в соответствии с Приказом ФСТЭК России от 18.02.2013 № 21. Сведения об уровне защищенности не раскрываются в настоящем документе в целях, указанных в п. 1.5 настоящих Сведений.
5.1.1. Идентификацию и аутентификацию пользователей (субъектов доступа) и (при необходимости) технических средств, используемых для доступа к персональным данным.
5.1.2. Управление доступом к информационным ресурсам и (или) учетным записям, с использованием которых осуществляется обработка персональных данных.
5.1.3. Регистрацию событий безопасности и учет действий: фиксацию действий (операций), совершаемых с персональными данными в информационных системах, и (при наличии технической возможности) фиксацию событий, относящихся к безопасности персональных данных.
5.1.4. Защиту при передаче и хранении: применение мер по защите персональных данных при передаче по сетям связи и при хранении (включая использование средств защиты информации при необходимости и в случаях, предусмотренных применимыми требованиями).
5.1.5. Обеспечение целостности и доступности: реализацию мер, направленных на предотвращение несанкционированного изменения (искажения) персональных данных и обеспечение возможности их восстановления; организацию резервного копирования в объеме, необходимом для обеспечения восстановления и информационной безопасности.
5.1.6. Выявление несанкционированного доступа: применение мер, направленных на обнаружение фактов несанкционированного доступа (и (или) признаков таких фактов) и реагирование на них.
5.2. Оператор определяет уровень защищенности персональных данных, обрабатываемых в информационных системах персональных данных, в соответствии с требованиями Постановления Правительства Российской Федерации от 01.11.2012 № 1119, и на основании определенного уровня защищенности устанавливает состав необходимых технических мер защиты в соответствии с Приказом ФСТЭК России от 18.02.2013 № 21. Сведения об уровне защищенности не раскрываются в настоящем документе в целях, указанных в п. 1.5 настоящих Сведений.
6.1. При сборе персональных данных граждан Российской Федерации, включая сбор посредством сети Интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных с использованием баз данных, находящихся на территории Российской Федерации, и не допускает осуществление указанных действий с использованием баз данных, находящихся за пределами территории Российской Федерации, за исключением прямо предусмотренных законом случаев.
6.2. Трансграничная передача персональных данных (при ее осуществлении) производится Оператором при соблюдении требований законодательства Российской Федерации, включая исполнение обязанности по предварительному уведомлению уполномоченного органа о намерении осуществлять трансграничную передачу персональных данных в случаях и порядке, установленных законом.
6.3. При привлечении третьих лиц (уполномоченных операторов) для обработки персональных данных по поручению Оператор обеспечивает принятие таким лицом обязательства по соблюдению требования локализации персональных данных граждан Российской Федерации, предусмотренного ч. 5 ст. 18.1 Федерального закона № 152-ФЗ, либо подтверждает соблюдение указанного требования иным допустимым способом.
6.2. Трансграничная передача персональных данных (при ее осуществлении) производится Оператором при соблюдении требований законодательства Российской Федерации, включая исполнение обязанности по предварительному уведомлению уполномоченного органа о намерении осуществлять трансграничную передачу персональных данных в случаях и порядке, установленных законом.
6.3. При привлечении третьих лиц (уполномоченных операторов) для обработки персональных данных по поручению Оператор обеспечивает принятие таким лицом обязательства по соблюдению требования локализации персональных данных граждан Российской Федерации, предусмотренного ч. 5 ст. 18.1 Федерального закона № 152-ФЗ, либо подтверждает соблюдение указанного требования иным допустимым способом.
7.1. В качестве организационной меры, направленной на подтверждение правомерности обработки персональных данных и защиту законных интересов Оператора при разрешении возможных споров, Оператор вправе фиксировать сведения о предоставленном согласии субъекта персональных данных и параметрах его получения (включая дату, время, источник получения, версию текста согласия и (или) Политики, а также технические сведения, относящиеся к факту выражения согласия), при условии недопущения использования таких сведений в целях, несовместимых с заявленными.
8.1. При выявлении инцидента, связанного с неправомерной или случайной передачей (предоставлением, распространением, доступом) персональных данных, повлекшего нарушение прав субъектов персональных данных, Оператор:
8.1.1. Принимает меры по локализации последствий инцидента и предотвращению дальнейшего распространения (предоставления, доступа) персональных данных.
8.1.2. Организует внутреннее расследование причин и обстоятельств инцидента.
8.1.3. Направляет уведомления в уполномоченный орган по защите прав субъектов персональных данных в соответствии с требованиями ст. 21.1 Федерального закона № 152-ФЗ, в том числе:
— не позднее 24 (двадцати четырех) часов с момента выявления инцидента — первичное уведомление с информацией о факте инцидента;
— не позднее 72 (семидесяти двух) часов с момента выявления инцидента — уведомление с результатами внутреннего расследования, предусмотренными указанной статьей.
8.2. Оператор обеспечивает ведение учета инцидентов в области персональных данных (журнал/реестр учета) в объеме, необходимом для исполнения обязанностей по реагированию и последующему контролю корректирующих мер.
8.3. Настоящие Сведения не предполагают обязательного взаимодействия Оператора с Национальным координационным центром по компьютерным инцидентам (НКЦКИ) в рамках ГосСОПКА, поскольку Оператор не является субъектом критической информационной инфраструктуры в смысле Федерального закона от 26.07.2017 № 187-ФЗ.
8.1.1. Принимает меры по локализации последствий инцидента и предотвращению дальнейшего распространения (предоставления, доступа) персональных данных.
8.1.2. Организует внутреннее расследование причин и обстоятельств инцидента.
8.1.3. Направляет уведомления в уполномоченный орган по защите прав субъектов персональных данных в соответствии с требованиями ст. 21.1 Федерального закона № 152-ФЗ, в том числе:
— не позднее 24 (двадцати четырех) часов с момента выявления инцидента — первичное уведомление с информацией о факте инцидента;
— не позднее 72 (семидесяти двух) часов с момента выявления инцидента — уведомление с результатами внутреннего расследования, предусмотренными указанной статьей.
8.2. Оператор обеспечивает ведение учета инцидентов в области персональных данных (журнал/реестр учета) в объеме, необходимом для исполнения обязанностей по реагированию и последующему контролю корректирующих мер.
8.3. Настоящие Сведения не предполагают обязательного взаимодействия Оператора с Национальным координационным центром по компьютерным инцидентам (НКЦКИ) в рамках ГосСОПКА, поскольку Оператор не является субъектом критической информационной инфраструктуры в смысле Федерального закона от 26.07.2017 № 187-ФЗ.
9.1. Оператор вправе актуализировать настоящие Сведения при изменении законодательства Российской Федерации, применяемых бизнес‑процессов, состава информационных систем и (или) мер защиты, а также по результатам внутреннего контроля (аудита) и (или) реагирования на инциденты.
9.2. Настоящие Сведения подлежат размещению на Сайте в свободном доступе. Предыдущие редакции Сведений хранятся Оператором во внутреннем архиве версий с указанием дат действия каждой редакции в целях обеспечения доказательственной готовности при проверках и разрешении возможных споров.
9.2. Настоящие Сведения подлежат размещению на Сайте в свободном доступе. Предыдущие редакции Сведений хранятся Оператором во внутреннем архиве версий с указанием дат действия каждой редакции в целях обеспечения доказательственной готовности при проверках и разрешении возможных споров.
10.1. По вопросам, связанным с обработкой и защитой персональных данных, субъект персональных данных вправе обратиться к Оператору:
Реквизит | Значение |
Наименование | ИП Николаев Владимир Геннадьевич |
Адрес регистрации ИП | 665932, Иркутская обл., Слюдянский р-н, г. Байкальск, мкр. Гагарина, д. 175, кв. 8 |
Почтовый адрес | 660049, г. Красноярск, улица Карла Маркса, 75а, оф.2-26. |
Контактный телефон | +7 983 444 20 63 |
Email для обращений по ПДн | lelook@yandex.ru |
Лицо, ответственное за организацию обработки ПДн | Николаев Владимир Геннадьевич (Оператор) |